Nei giorni scorsi si è registrato un discreto clamore in seguito alla notizia della “forzatura” del Trusted Platform Module prodotto da Infineon. Il ricercatore che ha condotto lo studio è stato in grado di estrarre i dati memorizzati nel chip TPM derivando le chiavi crittografiche (RSA, DES) utilizzate anche da programmi quali Microsoft BitLocker.
Gli hardware TPM integrano numerosi meccanismi per fronteggiare un ampio spettro di attacchi quali, ad esempio, la cosiddetta analisi elettromagnetica differenziale (DEMA) e le intrusioni di tipo “fisico”. Una volta recuperate le chiavi crittografiche, tuttavia, l’aggressore può leggere le informazioni cifrate conservate sul disco fisso senza la necessità di conoscere alcuna password.
Oggetto dell'”attacco” è stato uno dei primi chip TPM (Infineon 1.2), conosciuto anche come “Fritz chip” e montato su molti cellulari, notebook più costosi, tablet PC e console “ludiche”.
Christopher Tarnovsky (Flylogic Engineering), precedentemente conosciuto per le sue abilità nello “scassinare” smart card, ha presentato il risultato del suo lavoro in occasione della “Black Hat DC Conference”. In un primo tempo, Tarnovsky sembra aver estratto il chip vero e proprio in ambiente di laboratorio per poi analizzarne la logica interna “liberando” il chip dei vari strati protettivi (utilizzando, allo scopo, un mix di prodotti chimici). Servendosi poi di una serie di aghi molto sottili, Tarnovsky ha poi letto i flussi di dati in transito sul chip, anche grazie al fatto che questi sono risultati essere “in chiaro”.
L’ingegnere di Flylogic è riuscito ad avere ragione del chip TPM Infineon 1.2 dopo circa sei mesi di lavoro. Secondo quanto dichiarato, invece, il recupero della chiave di licenza di una Xbox 360 avrebbe richiesto appena sei ore di lavoro aggiuntive.
Mentre Tarnovsky ricorda come Infineon avesse in precedenza apostrofato come “impraticabili” gli attacchi ai suoi chip TPM, Peter Laackman, Senior Principal for Chip Cards & Product Security di Infineon, ha precisato come la sua azienda non abbia mai escluso la possibilità di attacco. I chip TPM non sono “inviolabili” e non sarebbero mai stati presentati come tali, secondo Laackman. Il rappresentante di Infineon tende piuttosto a rimarcare come attacchi simili a quello condotto con successo da Tarnovsky siano impraticabili nella maggior parte delle situazioni. Non è certo il caso quindi dell’utente comune o di professionisti dotati di buone capacità. Solo le aziende governative o le forze dell’ordine dotate di apparecchiature adeguate potrebbero riuscire nell’intento.
Lo stesso Tarnovsky ha amesso di aver impiegato un’apparecchiatura di laboratorio che ha comportato un investimento pari a circa 200.000 dollari.
Laackmann ha voluto aggiungere poi come la famiglia di prodotti utilizzata negli studi di Tarnovsky sia ormai divenuta obsoleta: il suo impiego sarebbe stato inizialmente concepito solo per le smart card. Infineon ha già prodotto una nuova generazione di chip TPM in grado di offrire ulteriori contromisure contro i tentativi “fisici” di violazione ma anche funzionalità crittografiche aggiuntive. Secondo Laackmann la registrazione del traffico sul data bus si rivelerebbe inutile dal momento che le informazioni sono cifrate e non transitano in chiaro come invece accade nel caso del chip “scassinato” da Tarnovsky.
L’ingegnere resosi protagonista della scoperta ha precisato di non intendere pubblicare i dettagli dell’approccio impiegato ma di avere in programma, nel prossimo futuro, dei test sui chip TPM di altri produttori.
L’utilizzo di chip TPM è stata più volte citata – sia da Bruce Schneier che da Joanna Rutkowska – come la soluzione oggi più adatta per proteggere i propri dati da attacchi esterni impedendone l’accesso agli utenti non autorizzati.
In merito al tema “crittografia di dischi e partizioni“, suggeriamo di leggere il parere degli esperti facendo riferimento a questo articolo.